这是一个创建于 925 天前的主题,其中的信息可能已经有所发展或是发生改变。
想请教各位大佬,假如我有家用公网 ip ,只开 OpenVPN 的(高位)端口,别的端口都没开。
这种情况下,如果端口被人知道了,那么 OpenVPN 被人爆破的可能性大吗?
 |
1
XiLingHost 2022-05-03 19:38:56 +08:00
用证书登录
|
 |
2
muhahaha 2022-05-03 19:39:41 +08:00 via Android
证书登录问题不大
|
 |
3
yzc27 OP @XiLingHost 是的,是用证书登录。
|
|
4
XiLingHost 2022-05-03 19:41:02 +08:00
@yzc27 我的意思是,如果使用证书登录,那么可能性不大
|
|
5
yzc27 OP @muhahaha 我可以认为,只要是证书登录的话,哪怕被知道 ip 和端口,也几乎很难从 openvpn 爆破进内网,对吗?
|
 |
6
eason1874 2022-05-03 19:43:00 +08:00
跟 SSH 一样,肯定有机器来爬,但你只用证书登录就问题不大
|
 |
7
heyjei 2022-05-03 19:43:21 +08:00
安全,我的 OpenVPN 也在公网。
|
 |
8
iClass 2022-05-03 19:43:55 +08:00 via Android
用公網 無隱私
|
|
10
yzc27 OP @XiLingHost 明白,谢谢大佬
|
|
11
yzc27 OP @heyjei 因为突然想起今天没事做在网上随手找了个端口扫描的网站全端口地扫了下自己 ip ,可以扫到 openvpn 的端口。后来才想起,这网站不知道可不可靠,会不会在后台记录下 ip 端口,事后来慢慢爆破 openvpn
|
|
12
yzc27 OP @eason1874 想确认一下,证书登录,是不是就是用 easy-rsa 生成那几个 ca 、cert 、key 文件?我当时是按网上教程跟着搞的。
|
 |
13
hdp5252 2022-05-03 19:55:04 +08:00
日本甲骨文安装 openvpn 已稳定运行 3 年,用证书登录
ssh 也是证书一直没改过,再也不怕穷举。 |
|
17
yzc27 OP @muhahaha #15 是的,目前我就是这么做。只是今天没事做在网上随手找了个端口扫描的网站全端口地扫了下自己 ip ,可以扫到 openvpn 的端口。后来才想起,这网站不知道可不可靠,会不会在后台记录下 ip 端口,担心事后来被人慢慢爆破 openvpn 。虽说没啥价值,但要是被爆破进内网,自己也担心。
|
 |
18
jim9606 2022-05-03 23:34:59 +08:00
目前主流的 ovpn setup 都是 TLS 双向认证的,爆破基本不可能,主要是软件漏洞、证书密钥泄漏和错误配置。
前者勤更新别用太老的版本就行(推荐 openvpn>=2.4 ,openssl>=1.1.0 ),中者可能的是你意外公开了客户端 ovpn 或者 ssh 用弱密码登录被爆破。后者就看你有没有看了坑人教程了,例如填了 verify-client-cert none 。 |
Select Language